Кот Абсолютный

с частым отключением мобильного интернета в Воронеже

В Воронеже? Где прилеты? Братан, забудь сам и каждого, кто будет тащить эту идею бей в морду :)
Потому что исключение из вуза - это минимум, которым ты отделаешься в случае чего (а такой случай непременно наступит).
Потому что когда тебя найдут и положат мордасом в пол, то тебе предьявят вовсе не УК 272 :) Тебе предьявят либо УК 205.1 (Содействие террористической деятельности) либо УК 276 (Шпионаж). То, что ты всего лишь на сиськи хотел посмотреть - будешь рассказывать улыбчивым ребятам в гражданке :)

Как на основном роутере-сервере IKEv2 создать маршрут до подсети за роутером-клиентом?

Гуглить "туннель сеть-сеть". Единственное что мне тут непонятно - как обеспечить связь шаблона политики (который сработает при подклоючении роутера) и собственно политики, которая и должна будет обьяснить микротику "все пакеты в такую-то сеть паковать в ESP и отправлять туда-то".
При статической адресации это труда не составляет.

по тарифу должно быть 500мб,

Неверно. Читаем договор. Внимательно читаем. По тарифу - "до 500 Мб". То есть 1 Мб - тоже входит в условия договора.
Flat rate, то есть скорость именно 500Мб (а не 490 например) - возможен. Но стоить он будет раз в ... много дороже.

Это как дорога - все физики делят общую полосу и едут с той сокоростью, которую она позволяет (а максимум определяется моделью машины). Юрик (или физик с flat rate) - летит по выделенной полосе с максимальной скоростью (а когда его нет - полоса простаивает, но деньги за нее уплачены)

Переведи китайца в режим моста, чтобы кинетик был основным шлюзом. И ставть на него впн, кстати, возможно и не понадобится шить - кинетик в принципе и так неплохая шелезяка.

Элтекс ( и пр. отечественные вендоры), MikroTik, TP-link, D-link не рассматриваются в принципе.

Я вижу в этом политические моменты или я ошибаюсь? Вы всерьез считаете, что китайцы (а все перечисленные, кроме Vector - это "Вектор Технологии" из г. Орел что ли?) будут сильно лучше микротика или тайваньского D-Link-а? У которого вообще говоря и промышленные решения есть?

Я понимаю, если бы сказали "рассмативаем только отечественного производителя". а тут "рассматриваем только китайского производителя". Здесь я вижу скрытый нетехнический момент, который может больно ударить.

Второе. При таких обьемах обычно нанимают интегратора. Это уже вполне приличная промышленная поставка - за нее любой интегратор возьмется с визгом. Он, по крайней мере, не будет страдать вот такой вот фигней и будет нести ответственность за выбор.

или можно что-то сделать?

Дом.сру известен своей наглостью во впаривании чего бы то ни было. Скорее всего хотят развести на покупку у них роутера. Адрес 0.0.0.0 означает, что нет никакого адреса (технически - это "все адреса"), то есть адрес роутер не получил.
Звоните в саппорт, пусть помогут в настройке роутера или пришлют инженера. Не стесняйтесь немного борзануть - к сожалению, дом.сру часто не понимает нормального языка :(

Нет. РТК ради какого-то там физика вообще делать ничего не будет :) Странная какая-то конфигурация - щемиться хотите что ли? Так у РТК логи все равно есть.

Примерно то же самое, что у меня было с точкой доступа. Стояла TL-WA восемьсот какая-то. Стояла пятнадцать лет, начала виснуть периодически - все-таки приличный возраст. Меняю на Tp-Link же, на какой-то понтовый-распонтовый роутер - и обнаруживаю, что в режиме точки доступа он не имеет IP! А управляется исключительно через Tether - аппликуху с телефона.
Мать-перемать, до сих пор страдаю и корячусь...

Интернета не хватает (20+ компьютеров).

Надо с этого начинать. Потому что у меня полторы сотни рыл сидят на таком канале - и ничего. Просто доступ нужно контролировать.
Прокси там, файрволлы, списки блокировок... Обычная, даже заурядная админская работа...

Если контора активно борется с обходом блокировок, но наверняка у нее есть средства контроля, не обходят ли ее обходы :) Не знаю, есть ли у вас безопасники, но не думаю, что Вас обрадует узнать что они есть и работают :)

Они даже этот сайт могут читать, да-да...

после обычного роутера МТС, микротик конечно сильно отстает,

Да нет, это кривизна рук отстает от той, которая нужна для работы с микротиками :)

Вопрос скорее не технический, а организационный. Хотя техническая часть в нем есть.
Технически:
- привязка mac к порту
- укладка провода так, чтобы просто так не добраться (человек ленив, если надо лезть под стол - точно не полезет)
- отобрать админские права на винду у тех, кому они не нужны
- arpwatch всюду

Организационный:
- общий приказ по конторе о запрете домашних устройств, под роспись каждому
- информирование о введении режима привязки маков
- тем, кому админские права нужны для работы - отдельная бумага об ответственности с подписью
- показательная порка первого пойманного - лишение премии, выговор, увольнение в режиме "два часа на сбор личных вещей"

Отдельное замечание про умников с клонированием мака. Здесь, как и везде, роялит намерение. Клонирование мака - это явно деструктивное действие, направленное на обход систем защиты. Значит ты кто - ты нарушитель, и с тобой не админы будут говорить, а безопасники иди руководство.

В 2015-м вроде как один такой чел у нас решил "попробовать" Tor. Ну, директор по безопасности вызвал его и его начальника, поговорил... Челу как бабка отшептала что-то пробовать, до сих пор у нас работает...

Роутерыч, елы-палы. Правда, если не хочется разбираться в качестве сомнительного татарского стартапа - идем на сайт openwrt, смотрим, что поддерживается, покупаем, шьем...

Свое - надежнее будет.

Никак. По крайннй мере без согласования со стороны МТС (а я более чем уверен, что такого согласования Вы никогда не получите).
Почему? У МТС огромная сеть. И мониторится она конечно же автоматами. И работают эти автоматы в расчете на то, что с той стороны подконтрольная им железка. Если же это не так - связь просто не подымается. Вот и все.
Звоните в саппорт, описываете ситуацию. Вас шлют. Вы говорите "уйду к другому провайдеру". Вам желают попутного ветра в горбатую спину. Вы возвращаете на место провайдерский роутер (если таковой был) и просите перевести его в режим моста. На это МТС идет. Вы создаете на микротике pptp подключение (не забываем про clamp-mss-to-pmtu!), считаете его за провайдерский интерфейс и настраиваете микротик соответственно.

RB4011 - серьезная железка, куда Вам домой такая :)

Попасть в морду управления можно через winbox по маку. Возможно у микротика не загружено никакой конфигурации и нет никаких адресов.

есть ли другие способы

Есть.

Понять, что есть категория устройств, рассчитанных на невзыскательного потребителя тырнета для которого главное - цена. Никакими openwrt такой покупатель не иентересуется и вот этот роутер - это такое устройство. С ним ничего не сделать, только купить такой, который можно использовать. Кинетик советовали неоднократно, я в принципе согласен. Старая, уважаемая контора...

Не с этим роутером. Это пардон днище для самого невзыскательного клиента по принципу "главное - цена".

Нет таких приложений. А "сторонее ПО" - это скорее всего VPN в Японию, Ю. Корею или еще куда там кроме Китая. Заведите себе VPS в данных локациях, подымите дотуда VPN, какой сможете - и ходите через него.

Микротик конечно же. Гибче не придумаешь. Но за это приходится платить повышенным порогом входа и тем, что придется думать. Нет у микротика никаких "визардов", есть фактически голая консоль, переведеная в графику - winbox. Там минимум свистелок и перделок, ты можешь сделать практически все, что угодно... если знаешь как.
Ну или доки читать. Обычному юзеру это не надо, вот и берут кинетики, асусы и даже прости-Господи Tp-Link (хотя для невзыскательного юзера он вполне годится)

Я дилетант и хочу взять устройство под openwrt чтобы обходить DPI централизованно

Блокировки постоянно мутируют, средства обхода блокировок - тоже. Один раз что-то сделать и почить на лаврах не получится.
Берете любой современный роутер, шьете и следите за новостями :)

Никак. TW например намеренно хватает "кусками" из разных подсетей, чтобы его сложнее было заблокировать.